手机网站
手机网站
本月早些时候,韩国核安全局收到了一封来自一名研究员的电子邮件,声称他们很容易就获得了。通过简单的方法获得GOV域名。如果这个漏洞被利用或导致信任危机。Gov域名它说,通过填写在线表格,它成功地从美国一个小镇的主页上获得了一些标题信息。美国域名,并在申请材料中冒充当地官员,从而获得审计人员的信任。
(标题Viakrabsonsecurity)
这位不愿透露姓名的消息人士说,他使用了一个虚假的谷歌语音号码和一个虚假的Gmail地址,但这一切都是出于意识形态实验的目的。唯一真实的信息是政府官员的名字。
据报道,这封邮件是从exeterri.gov的域名发送的该域名于11月14日注册,网站内容与。它模仿的美国网站(罗德岛州埃克塞特市的美国网站现在无效)
来源补充:必须填写正式的授权表,但基本上只需要列出管理员、技术人员和计费人员等信息
此外,它需要打印在“官方信头”上,但您可以通过搜索市政府的文档模板轻松伪造它。
将通过传真或邮件发送。批准通过后,可以注册注册机构发送的创建链接。
从技术上来说,消息来源被怀疑有邮件欺诈行为。如果他们在美国使用服务,他们也可能被相应地收费。但是对于躲在暗处的网络罪犯来说,这个漏洞显然是受欢迎的。
为了堵塞程序漏洞,举报人希望引入更严格的身份认证尽管他的实验是非法的,但事实表明它很容易成功。今天早些时候,KrebsOnSecurity联系了真正的埃克塞特官员。一名未透露姓名的工作人员说,安全总局在11月24日给市长办公室打了电话
然而,这个电话是在询问联邦机构四天后打来的,大约过了10天,假冒域名才被批准。尽管
没有直接回应,该机构写道:“GSA正在与当局合作,并实施了其他欺诈预防控制措施。”至于具体的附加错误,没有详细解释。
但是KrebsOnSecurity确实从国土安全部的网络安全和基础设施安全局得到了实质性的回应,称其试图保护。gov域名。
